Wie letzte Woche angekündigt, heute etwas über die automatisch versendeten E-Mails, über die sich jeder Spammer freut: Nachrichten über geänderte Mailadressen und die "Out of Office"-Mails mit langen Listen gültiger Mailadressen.
Bei den E-Mails zu geänderten Adressen ist mir eine positiv aufgefallen. Der Inhalt:
This e-mail address is no longer in use. If you know me, you know how to reach me.
Schade, dass ich den Empfänger nicht kenne, sonst hätte ich ihm direkt zu dieser Mail gratuliert, denn die finde ich wirklich gut: Sie enthält die relevante Information (nämlich dass der Empfänger über diese Adresse nicht mehr zu erreichen ist) und keine überflüssigen zusätzlichen Informationen, die eventuell gegen ihn verwendet werden können.
Ganz anders sieht es da bei den "Out of Office"-Mails aus: Ich kenne jetzt die Vertretungen etlicher Leute, samt deren Aufgabengebieten, und die Dauer ihrer Abwesenheit. Mit Social Engineering ließe sich daraus Einiges machen. Einige hatten auch gleich ihre Adresse mit in der E-Mail angegeben, bei anderen müsste man halt erst auf die Webseite der Empfänger-Domain gehen oder etwas im Web recherchieren. Weitere Informationen liefern die Absender oft auch über Social Networks wie Xing und Co.
Meine Interpretation derartiger E-Mails sieht so aus:
"Sehr geehrter Verbrecher,
vom ... bis ... bin ich im Urlaub. Meine Adresse ist ... . Sollten Sie
nicht an meinen Wertsachen, sondern an Daten meines Arbeitgebers
interessiert sein, verraten Ihnen meine Kollegen Herr John Nobody,
zuständig für Projekt HasteNichtGesehen, und Frau Jane Doe,
zuständig für Projekt GibtsJaGarNicht, gerne mein Passwort oder
weitere Informationen."
Als Antwort auf eine Spam-Mail landen diese Mails oft nirgends oder bei einem Unbeteiligten, dessen Adresse vom Spammer als Absender angegeben wurde. Aber es gibt auch immer wieder Spammer, die eigene Adressen als Absender verwenden und die Reaktionen auswerten. Außerdem werden diese Mails oft auch über Mailinglisten verteilt: Z.B. auf meine letzte Mail an die Bugtrag-Liste kamen etliche "Out of Office"-Mails zurück. Da sollten sich einige Entwickler mal über Mailinglisten informieren und sich dann überlegen, ob es wirklich notwendig ist, darauf mit einer Abwesenheitsnotiz zu antworten. Wer Informationen über eine bestimmte Person haben möchte, die vermutlich abwesend ist, kann natürlich auch immer eine unverfängliche Mail (falls sie den Adressaten doch erreicht) schicken und auf die "Out of Office"-Mail warten.
Ich weiß nicht, ob wirklich schon aufgrund solcher Mails in Wohnungen oder Häuser eingebrochen wurde. Entsprechende Warnungen werden ja regelmäßig veröffentlicht - und ebenso regelmäßig ignoriert. Fakt ist ja wohl, dass Einbrecher bereits auf Flughäfen die Adressanhänger auf Koffern gelesen und die Informationen für Einbrüche genutzt haben. Warum sollten sie dann nicht die viel einfachere Online-Methode nutzen? Auf jedem Fall liefern diese Mails aber nützliche Informationen für Industrie-Spione, Identitätsdiebe und andere Unholde.
Bei meiner privaten Mailadresse wissen die Leute, die dahin Mails senden, wann ich nicht da bin. Oder sie müssen oder sollen es nicht wissen. Wie in der oben zitierten Mail: "If you know me, you know how to reach me." Und das dürfte für die überwiegende Mehrheit aller privat genutzten Mailadressen gelten. Eine Abwesenheitsnotiz erübrigt sich für private Adressen also.
Wenn ich mein geschäftliches Mailverhalten betrachte, gibt es da im Wesentlichen nur zwei Sorten von Empfängern: Zum einen die, mit denen ich regelmäßig Mails austausche. Da bleibt es gar nicht aus, dass man den anderen über eine geplante Abwesenheit informiert und ggf. mitteilt, wer für die Zeit der Abwesenheit der Ansprechpartner ist. Und dann die, die nur sehr selten Mails bekommen. Und dann kann die Beantwortung meist auch etwas länger dauern. OK, eine "Out of Office"-Mail hätte dann den Vorteil, dass ich weiß, dass die Mail angekommen ist, aber zurzeit nicht bearbeitet wird. Aber wie lange der andere abwesend ist und wer ihn wo vertritt, ist zumindest für mich in den meisten Fällen unwichtig. Zum einen gehe ich davon aus, dass bei einer längeren Abwesenheit Maßnahmen getroffen werden, dass die Mails trotzdem bearbeitet werden. Zum anderen bin ich durchaus in der Lage, im Notfall auf anderem Weg eine Reaktion zu erhalten. Ob über eine allgemeine Mail-Adresse, einen Telefonanruf, einen persönlichen Besuch, wenn ich sowieso in der Nähe bin, was auch immer - das ergibt sich dann. Wenn ich nicht sowieso weitere Ansprechpartner im jeweiligen Unternehmen kenne.
Man kann "Out of Office"-Mails auch so formulieren, dass sie keine
unnötigen Informationen enthalten. Wie wäre es mit dieser
Formulierung:
"Vielen Dank für ihre Mail. Ich bin zur Zeit außer Haus
und habe nur eingeschränkten Zugriff auf meine E-Mails. In dringenden
Fällen senden Sie bitte eine Mail an einen der anderen Ihnen bekannten
Ansprechpartner im Haus oder die allgemeine Adresse info@...".
Der Absender der so beantworteten Mail weiß dann, dass der Empfänger seine Mail nicht sofort bearbeiten wird und kann ggf. entsprechend reagieren. Er erhält aber keine weiteren, für ihn meist unnötigen Informationen.
Kaum jemand käme auf die Idee, ein Schild an den Briefkasten zu hängen, bevor er verreist. Wieso also sollte man das beim elektronischen Briefkasten tun? Ich finde, darüber sollte man mal nachdenken.
